이 문서에서는 제로 트러스트를 기반으로 하는 조건부 액세스 시나리오의 디자인 원칙 및 종속성에 대해 알아봅니다.
디자인 원칙
몇 가지 디자인 원칙부터 시작하겠습니다.
제로 트러스트 정책 엔진으로서의 조건부 액세스
제로 트러스트에 대한 Microsoft 접근 방식에는 기본 정책 엔진으로 조건부 액세스 가 포함됩니다. 이러한 접근 방식을 간략히 설명하면 다음과 같습니다.
이 아키텍처의 SVG 파일을 다운로드합니다.
조건부 액세스는 정책 정의와 정책 적용을 모두 포함하는 제로 트러스트 아키텍처의 정책 엔진으로 사용됩니다. 다양한 신호 또는 조건에 따라 조건부 액세스는 다음과 같이 리소스에 대한 제한된 액세스를 차단하거나 제공할 수 있습니다.
다음에서는 조건부 액세스의 요소와 해당 요소에 대해 자세히 설명합니다.
이 다이어그램에서는 비대화형 또는 비인식 액세스와는 달리 리소스에 대한 사용자 액세스를 보호할 수 있는 조건부 액세스 및 관련 요소를 보여 줍니다. 다음 다이어그램에서는 두 가지 유형의 ID를 모두 설명합니다.
조건부 액세스는 기본 대화형 인간에서 리소스로의 액세스를 보호하는 데 중점을 두고 있습니다. 비인간 ID의 수가 증가함에 따라 이러한 ID로부터의 액세스도 고려해야 합니다. Microsoft는 워크로드 ID에 대한 액세스 보호와 관련된 두 가지 기능을 제공합니다.
- Microsoft Entra 조건부 액세스 포털에서 선택할 수 없는 워크로드 ID로 표시되는 애플리케이션에 대한 액세스 보호 이 옵션은 보안 특성을 사용하여 지원됩니다. 워크로드 ID에 보안 특성을 할당하고 Microsoft Entra 조건부 액세스 포털에서 이를 선택하는 것은 Microsoft Entra ID P1 라이선스의 일부입니다.
- 워크로드 ID(서비스 주체)에서 시작하는 리소스에 대한 액세스 보호 새 기능 "Microsoft Entra 워크로드 ID"는 이 시나리오를 지원하는 별도의 라이선스에서 제공됩니다. 여기에는 조건부 액세스를 사용하여 리소스에 대한 액세스 보호를 포함하여 워크로드 ID의 수명 주기 관리가 포함됩니다.
엔터프라이즈 액세스 모델
Microsoft는 이전에 계층화 모델을 기반으로 온-프레미스 리소스에 액세스하기 위한 지침과 원칙을 제공했습니다.
- 계층 0: 도메인 컨트롤러, PKI(공개 키 인프라), AD FS(Active Directory Federation Services) 서버 및 이러한 서버를 관리하는 관리 솔루션
- 계층 1: 애플리케이션을 호스트하는 서버
- 계층 2: 클라이언트 디바이스
이 모델은 온-프레미스 리소스와 여전히 관련이 있습니다. 클라우드에서 리소스에 대한 액세스를 보호하기 위해 Microsoft는 다음과 같은 액세스 제어 전략을 권장합니다.
- 포괄적이고 일관적입니다.
- 기술 스택 전체에 보안 원칙을 엄격하게 적용합니다.
- 조직의 요구 사항을 충족할 수 있을 만큼 유연합니다.
이러한 원칙에 따라 Microsoft는 다음과 같은 엔터프라이즈 액세스 모델을 만들었습니다.
엔터프라이즈 액세스 모델은 온-프레미스 Windows Server Active Directory 환경에서 승인되지 않은 권한 상승을 포함하는 데 초점을 맞춘 레거시 계층 모델을 대체합니다. 새 모델에서 계층 0은 컨트롤 플레인으로 확장되고, 계층 1은 관리 및 데이터 평면으로 구성되고, 계층 2는 사용자 및 앱 액세스를 포함합니다.
제어 및 관리를 기본 제어 평면 및 정책 엔진으로 사용하는 클라우드 서비스로 이동하여 액세스를 정의하고 적용하는 것이 좋습니다.
Microsoft Entra 조건부 액세스 정책 엔진을 다음을 비롯한 다른 정책 적용 지점으로 확장할 수 있습니다.
- 최신 애플리케이션: 최신 인증 프로토콜을 사용하는 애플리케이션입니다.
- 레거시 애플리케이션: Microsoft Entra 애플리케이션 프록시를 통해.
- VPN 및 원격 액세스 솔루션: Microsoft Always On VPN, Cisco AnyConnect, Palo Alto Networks, F5, Fortinet, Citrix 및 Zscaler와 같은 솔루션
- 문서, 메일, 기타 파일: Microsoft Information Protection을 사용합니다.
- SaaS 애플리케이션
- AWS 또는 Google Cloud와 같은 다른 클라우드에서 실행되는 애플리케이션(페더레이션 기반).
제로 트러스트 원칙
Microsoft에서 정의하는 세 가지 주요 제로 트러스트 원칙은 특히 보안 부서에서 이해하는 것으로 보입니다. 그러나 제로 트러스트 솔루션을 디자인하는 동안 유용성의 중요성이 간과되는 경우도 있습니다.
유용성은 항상 암시적 원칙으로 간주되어야 합니다.
조건부 액세스 원칙
앞의 정보에 따라 제안된 원칙에 대한 요약은 다음과 같습니다. 다음 세 가지 주요 Microsoft 제로 트러스트 원칙에 부합하는 조건부 액세스를 기반으로 액세스 모델을 만드는 것이 좋습니다.
명시적으로 확인
- 컨트롤 플레인을 클라우드로 이동합니다. 조건부 액세스를 사용하여 Microsoft Entra ID와 앱을 통합하고 보호합니다.
- 모든 클라이언트를 외부로 간주합니다.
최소 권한 액세스 사용
- 사용자 위험, 로그인 위험 및 디바이스 위험을 포함하여 규정 준수 및 위험에 따라 액세스를 평가합니다.
- 다음 액세스 우선 순위를 사용합니다.
- 보호를 위해 조건부 액세스를 사용하여 리소스에 직접 액세스합니다.
- 보호를 위해 조건부 액세스를 사용하여 Microsoft Entra 애플리케이션 프록시를 사용하여 리소스에 대한 액세스를 게시합니다.
- 조건부 액세스 기반 VPN을 사용하여 리소스에 액세스합니다. 앱 또는 DNS 이름 수준에 대한 액세스를 제한합니다.
위반 가정
- 네트워크 인프라를 분할합니다.
- 엔터프라이즈 PKI 사용을 최소화합니다.
- SSO(Single Sign-On)를 AD FS에서 PHS(암호 해시 동기화)로 마이그레이션합니다.
- Microsoft Entra ID에서 Kerberos KDC를 사용하여 DC에 대한 종속성을 최소화합니다.
- 관리 평면을 클라우드로 이동합니다. Microsoft Endpoint Manager를 사용하여 디바이스를 관리합니다.
다음은 조건부 액세스에 대한 몇 가지 자세한 원칙 및 권장 사례입니다.
- 조건부 액세스에 제로 트러스트 원칙을 적용합니다.
- 정책을 프로덕션 환경에 배치하기 전에 보고서 전용 모드를 사용합니다.
- 긍정적 시나리오와 부정적 시나리오를 모두 테스트합니다.
- 조건부 액세스 정책에서 변경 및 수정 컨트롤을 사용합니다.
- Azure DevOps/GitHub 또는 Azure Logic Apps와 같은 도구를 사용하여 조건부 액세스 정책 관리를 자동화합니다.
- 필요한 경우에만 일반 액세스에 블록 모드를 사용합니다.
- 모든 애플리케이션과 플랫폼이 보호되는지 확인합니다. 조건부 액세스에는 암시적 “모두 거부”가 없습니다.
- 모든 Microsoft 365 RBAC(역할 기반 액세스 제어) 시스템에서 권한 있는 사용자를 보호합니다.
- 위험 수준이 높은 사용자와 로그인의 경우 암호 변경 및 다단계 인증이 필요합니다.
- 위험 수준이 높은 디바이스에서 액세스를 제한합니다. 조건부 액세스에서 규정 준수 확인과 함께 Intune 규정 준수 정책을 사용합니다.
- Office 365, Azure, AWS 및 Google Cloud의 관리자 포털에 대한 액세스와 같이 권한 있는 시스템을 보호합니다.
- 관리자 및 신뢰할 수 없는 디바이스에 대한 영구 브라우저 세션을 방지합니다.
- 레거시 인증을 차단합니다.
- 알 수 없거나 지원되지 않는 디바이스 플랫폼에서 액세스를 제한합니다.
- 가능한 경우 리소스에 액세스하려면 호환 디바이스가 필요합니다.
- 강력한 자격 증명 등록을 제한합니다.
- 가동 중단이 발생하는 경우 가동 중단 전에 적절한 조건이 충족되면 세션을 계속할 수 있도록 하는 기본 세션 정책을 사용하는 것이 좋습니다.
종속성 및 관련 기술 디자인
다음 다이어그램에서는 종속성 및 관련 기술을 보여 줍니다. 일부 기술은 조건부 액세스를 위한 필수 구성 요소입니다. 다른 항목은 조건부 액세스에 의존합니다. 이 문서에 설명된 디자인은 주로 관련 기술이 아닌 조건부 액세스에 중점을 둡니다.
조건부 액세스 지침
자세한 내용은 제로 트러스트 및 가상 사용자를 기반으로 하는 조건부 액세스 디자인을 참조하세요.
참가자
Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.
보안 주체 작성자:
- Claus Jespersen | 수석 컨설턴트 ID>초
비공개 LinkedIn 프로필을 보려면 LinkedIn에 로그인합니다.